Meldung

Aus Alt mach Neu: Bootkit ESPecter taucht wieder auf

Security-Forscher von ESET haben eine neue Form von UEFI-Malware entdeckt. Diese nistet sich in der EFI-Systempartition (ESP) ein. Bei der "ESPecter" getauften Schadsoftware handelt es sich um ein UEFI-Bootkit, das die Windows-Treibersignatur umgeht und seinen eigenen unsignierten Treiber laden kann, was die Spionageaktivitäten enorm erleichtern soll.
ESPecter wurde auf einem kompromittierten Rechner zusammen mit einer Keylogging- und Dokumentendiebstahl-Funktion entdeckt. Aus diesem Grund gehen die ESET-Forscher davon aus, dass der Schädling hauptsächlich für Spionagezwecke verwendet wird. Anhand der ESET-Telemetrie konnten die Secuirty-Experten dabei die Anfänge dieses Bootkits bis mindestens 2012 zurückdatieren.

Interessant scheint dabei, dass sich die Komponenten der Malware in all den Jahren kaum verändert haben. Die Unterschiede zwischen den Versionen 2012 und 2020 seien nicht so signifikant, wie zu erwarten wäre. Nach all den Jahren eher unbedeutender Änderungen hätten die Entwickler hinter ESPecter nun aber offenbar beschlossen, ihre Malware von veralteten BIOS-Systemen auf moderne UEFI-Systeme umzustellen.

"Wir konnten die Wurzeln von ESPecter bis 2012 zurückverfolgen. Zuvor war das Spionageprogramm für Systeme mit veraltetem BIOS im Einsatz. Trotz seiner langen Existenz blieben ESPecter und seine Operationen sowie das Upgrade auf UEFI lange unbemerkt", sagt ESET Forscher Anton Cherepanov, der das UEFI-Bootkit zusammen mit Martin Smolár entdeckt hat. "ESPecter zeigt, dass sich die Entwickler hinter der Malware auf das Einnisten in der UEFI-Firmware verlassen und trotz vorhandener Sicherheitsmechanismen durchführen. Mit UEFI Secure Boot können solche Techniken leicht blockiert werden", ergänzt Martin Smolár.
6.10.2021/dr

Tipps & Tools

Security-Messe it-sa wieder am Start [12.10.2021]

Auf 52,5 Milliarden Euro schätzt das Institut der deutschen Wirtschaft die finanziellen Schäden, die im letzten Jahr durch Hackerangriffe auf Mitarbeiter im Home Office entstanden. Das ist ein neuer Rekord. Als Fachmesse für IT-Sicherheit widmet sich die it-sa vom 12. bis 14. Oktober der professionellen Abwehr von Cyberkriminalität – dieses Jahr wieder wie gewohnt im Messezentrum Nürnberg. [mehr]

Unsichere Passwortpraktiken wider besseren Wissens [5.10.2021]

Obwohl Anwender ein solides Verständnis über die Sicherheit von Passwörtern und die notwendigen Maßnahmen zur Risikominimierung haben, wenden sie dieses Wissen zu selten in der Praxis an. So gaben knapp die Hälfte der Befragten einer Studie zu, sensible Informationen und Passwörter für berufliche Konten weiterzugeben. [mehr]

Gefahrenabwehr im SOC [23.09.2021]

Fachartikel

Security mit Shielded-VMs und Host Guardian Service (3) [18.10.2021]

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen